Las apps de Facebook e Instagram han estado espiando tu navegación web en Android, incluso si tomabas medidas como el uso de VPN

La privacidad digital vuelve a estar en el centro de la polémica: una investigación internacional nuevo ha revelado un método proporcionado sofisticado —y lo que es peor, oculto— mediante el cual Meta (la empresa matriz de Facebook, WhatsApp e Instagram) ha estado rastreando sin consentimiento la navegación web de millones de usuarios de Android.

Ni el 'modo incógnito', ni borrar cookies, ni siquiera usar una VPN fueron suficientes para evitarlo. ¿Cómo ha sido esto posible?

El descubrimiento

Todo comenzó con un solo prueba escolar. Günes Acar, profesor en la Universidad Radboud (Países Bajos), detectó conexiones inusuales con puertos locales al analizar rastreadores en la web de su universidad.

Lo que parecía un caso eventual se convirtió en un descubrimiento de gran calado cuando, tras contactar con investigadores de otras universidades europeas, descubrieron que las aplicaciones móviles de Meta (Facebook e Instagram), y asimismo de la rusa Yandex, utilizaban un sistema denominado 'Regional Mess', en el que las apps instaladas en el propio dispositivo Android escuchaban conexiones desde páginas web visitadas, permitiendo así vincular el historial de navegación con la identidad del adjudicatario.

¿Cómo funcionaba el rastreo?

El truco estaba en el uso de puertos locales: en Android, cualquier aplicación que tenga permiso para usar Internet (como Facebook, Instagram, etc.) puede brindar uno de esos puertos y así quedarse "escuchando" en silencio, esperando que alguna app del móvil intente conectarse con el extranjero.

Por otra parte, muchas webs tienen integrado un pequeño código invisible llamado 'Meta Pixel', que normalmente se usa para enterarse cuántas personas visitan la página o hacen clic en un rama. Y aquí viene la trampa: cuando navegabas en una web desde tu teléfono móvil, ese 'Meta Pixel' no solo interactuaba con Internet...

...sino que intentaba conectar asimismo con las apps de Meta (Facebook o Instagram) a través de los citados puertos locales del móvil, lo que le permitía capturar:

• URLs visitadas.
• Acciones en el interior de las webs (búsquedas, clics, compras).
• Cookies de sesión.
• Identificadores persistentes, como el Android Advertising ID (AAID).

De esta forma, Meta podía enterarse de qué páginas visitabas, qué hacías en ellas e incluso asociar esa información contigo si tenías la sesión iniciada en la app. Y todo esto quedaba asociado automáticamente con la cuenta del adjudicatario en Facebook o Instagram.

La escalera del problema

Se estima que Meta Pixel está presente en más de 5,8 millones de páginas web y su equivalente ruso, Yandex Metrica, en otros 3 millones. Esto significa que una porción enorme de la navegación móvil mundial ha podido ser monitorizada sin que los usuarios fueran conscientes.

Adicionalmente, este comportamiento no fue comunicado ni a los usuarios ni a los administradores de las webs donde se integraban estos píxeles, lo que plantea serias dudas legales sobre el cumplimiento del Reglamento Caudillo de Protección de Datos (RGPD) en la Unión Europea.

¿Por qué lo hizo Meta?

¿Adicionalmente de porque es una compañía con una espacioso historial de usar sin complejos nuestros datos privados a nuestras espaldas para aventajar patrimonio? Bueno, pues una hipótesis que plantean los investigadores es que esta técnica podría poseer sido una respuesta a la exterminio progresiva de las cookies de terceros por parte de Google en Chrome, originalmente prevista para 2024 (pero pospuesta primero, y cancelada recientemente).

Así, al no poder rastrear usuarios por métodos tradicionales, Meta habría optado por esta alternativa más agresiva y opaca para sostener su capacidad de seguimiento.

Reacciones y consecuencias

Al salir a la luz este sistema en junio de 2025, Meta ha desactivado la función inmediatamente y sin dar las debidas explicaciones públicas, aunque alegando que estaban en contacto con Google para "resolver un posible malentendido sobre sus políticas". Por su parte, Yandex asimismo ha obligado que lleva usando este método desde 2017, aunque afirma que no recolectaban datos sensibles y que ya están desactivando esta funcionalidad.

Por su parte, varios desarrolladores de navegadores móviles como Google, Mozilla, DuckDuckGo y Brave están trabajando en parches para impedir el entrada a puertos locales desde los mismos. Brave, por ejemplo, ya estaba protegido gracias a una política más estricta de permisos.

¿Qué podemos hacer como usuarios?

Mientras se fortalecen los parches en navegadores y se discute la vigencia del caso, las recomendaciones para proteger tu privacidad digital siguen vigentes:

• Limita los permisos de tus aplicaciones en Android.
• Evita usar apps de Meta si no es imprescindible.
• Valora la posibilidad de usar navegadores centrados en la privacidad, como Brave.
• Utiliza herramientas de asedio de rastreadores.
• Revisa qué webs usan Meta Pixel para evitarlas (los investigadores han creado incluso un buscador para ello).

Imagen | Marcos Merino mediante IA

En Genbeta | Una nueva vulnerabilidad de Facebook permite a los atacantes enterarse qué perfil de adjudicatario está vinculado a una dirección de email